Meksikalı finans kurumları, adı verilen açık kaynaklı bir uzaktan erişim truva atının değiştirilmiş bir versiyonunu sunan yeni bir hedef odaklı kimlik avı kampanyasının radarı altında. AllaKore RAT.
BlackBerry Araştırma ve İstihbarat Ekibi, etkinliği, Latin Amerika merkezli, finansal motivasyona sahip bilinmeyen bir tehdit aktörüne bağladı. Kampanya en az 2021’den beri aktif.
Kanadalı şirket, “Lures, yükleme işlemi sırasında Meksika Sosyal Güvenlik Enstitüsü’nün (IMSS) adlandırma şemalarını ve meşru, zararsız belgelere olan bağlantıları kullanıyor.” söz konusu Bu hafta başlarında yayınlanan bir analizde.
“AllaKore RAT yükü, tehdit aktörlerinin çalınan bankacılık kimlik bilgilerini ve benzersiz kimlik doğrulama bilgilerini mali dolandırıcılık amacıyla bir komuta ve kontrol (C2) sunucusuna geri göndermesine olanak tanıyacak şekilde büyük ölçüde değiştirildi.”
Saldırıların özellikle brüt geliri 100 milyon doların üzerinde olan büyük şirketleri hedef almak için tasarlandığı görülüyor. Hedeflenen kuruluşlar perakende, tarım, kamu sektörü, imalat, ulaştırma, ticari hizmetler, sermaye malları ve bankacılık sektörlerini kapsamaktadır.
Bulaşma zinciri, kimlik avı yoluyla veya bir saldırı yoluyla dağıtılan bir ZIP dosyasıyla başlıyor; bu dosya, kurbanın Meksika coğrafi konumunu doğrulamaktan ve bir Delphi olan değiştirilmiş AllaKore RAT’ı almaktan sorumlu bir .NET indiricisini bırakan bir MSI yükleyici dosyasını içeriyor. tabanlı RAT ilk kez 2015’te gözlemlendi.
BlackBerry, “AllaKore RAT, her ne kadar basit olsa da, tuş kaydı yapma, ekran yakalama, dosya yükleme/indirme ve hatta kurbanın makinesinin uzaktan kontrolünü ele geçirme konusunda güçlü bir yeteneğe sahip” dedi.
Tehdit aktörü tarafından kötü amaçlı yazılıma eklenen yeni işlevler arasında bankacılık dolandırıcılığıyla ilgili komutların desteklenmesi, Meksika bankalarının ve kripto ticaret platformlarının hedef alınması, ters kabuk başlatılması, pano içeriğinin çıkarılması ve ek veri yüklerinin getirilmesi ve yürütülmesi yer alıyor.
Tehdit aktörünün Latin Amerika ile olan bağlantıları, kampanyada kullanılan Meksika Starlink IP’lerinin kullanılmasının yanı sıra değiştirilmiş RAT yüküne İspanyolca dilindeki talimatların eklenmesinden kaynaklanmaktadır. Ayrıca, kullanılan yemler yalnızca Meksika Sosyal Güvenlik Enstitüsü’ne doğrudan rapor verecek kadar büyük şirketler için işe yarar (IMSS) departman.
Şirket, “Bu tehdit aktörü, mali kazanç amacıyla sürekli olarak Meksika kuruluşlarını hedef alıyor” dedi. “Bu faaliyet iki yılı aşkın bir süredir devam ediyor ve durma belirtisi göstermiyor.”
Bulgular IOActive olarak geliyor söz konusu Lamassu Douro bitcoin ATM’lerinde (CVE-2024-0175, CVE-2024-0176 ve CVE-2024-0177), fiziksel erişimi olan bir saldırganın cihazların tam kontrolünü ele geçirmesine ve kullanıcı varlıklarını çalmasına olanak verebilecek üç güvenlik açığı tespit etti.
Saldırılar, ATM’nin yazılım güncelleme mekanizmasından ve cihazın kendi kötü amaçlı dosyasını sağlamak ve rastgele kod yürütülmesini tetiklemek için QR kodlarını okuma yeteneğinden yararlanılarak gerçekleştiriliyor. Sorunlar şunlardı: sabit İsviçreli şirket tarafından Ekim 2023’te.
